Cisco-hull åpner bygningssystemer

Cisco-hull åpner bygningssystemer

Hackere kan tukle med ventilasjon, lys, energi og sikkerhetsenheter.

Cisco Network Building Mediator-produktene har sikkerhetshull, og selskapet anmoder bedrifter som besitter slike produkter om å oppgradere maskinprogramvaren, skriver The Register.

- En vellykket utnyttelse av hullet kan føre til at en ondsinnet bruker får total kontroll over en berørt enhet, skriver Cisco i en sikkerhetsbulletin.

Ettersom enheten er et system for kontroll av bygninger, kan hackerne styre ventilasjon, lys, sikkerhetsenheter og energisystemer.

Cisco advarer også om at feilen i tillegg gjelder produkter fra Tichards-Zeta, et selskap Cisco har kjøpt som lagde originalsystemet. Hullene ble funnet under intern testing.

For det første ligger det standardpassord for administratortilgang i boksen. Enhver bruker med nettverksadgang til enheten kan derfor rett og slett logge inn og få full kontroll.

Et annet hull lar brukere med adgang til boksen lese og modifisese konfigurasjonsfilen, ettersom det er satt rettigheter som gjør at brukerkontoen ikke må være administrator for dette. Slike brukere kan også få boksen til å laste inn filene på nytt, og om dette gjøres gjentatte ganger, vil det hele fungere som et tjenestenektsangrep.

Et tredje hull som ble funnet, lar folk på innsiden avlytte trafikk mellom arbeidsstasjonen og boksen, og på den måten skaffe seg administratorpassord eller andre passord. På toppen av det hele er det et fjerde hull som lar hvem som helst lese en av konfigrasjonsfilene via xml rpc eller xml rpc via https. I denne filen står informasjon om brukerkontoer, slik som passord.

Alle feilene får enten høyeste prioritet eller nest høyeste prioritet i CVSS-sikkerhetsgraderingen, som betyr at det er svært alvorlige feil.

Bygningssystemet er en del av Ciscos forsøk på å hjelpe kundene til å bruke it for å automatisere og fjernstyre oppgaver som pleide å være manuell prosedyrer. Penger kan spares, men dermed kommer også nye trusler siden enhetene er laget for å kunne interagere sømløst med større strømnett.

Nettverk